Die meisten Unternehmen wissen, dass Sie verpflichtet sind einen Datenschutzbeauftragten zu bestellen. Doch welche konkreten Pflichten und Aufgaben mit dieser Stellung verbunden sind, ist den meisten Unternehmen oft unklar.Ab dem 25. Mai 2018 ändert sich dies und der Datenschutzbeauftragte muss nicht nur auf die Einhaltung der entsprechenden Datenschutzvorschriften hinwirken, sondern erhält nach Art. 39 Abs. 1b Datenschutz-Grundverordnung (DSGVO) eine umfassende Überwachungspflicht.
Wann ist ein Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet?
Unternehmensgröße / Anzahl der Mitarbeiter
Ab welcher Unternehmensgröße ein Datenschutzbeauftragter zu bestellen ist, hängt vom Umgang mit personenbezogenen Daten ab. Im Fokus steht das Ausmaß der Datenverarbeitung Sollten mehr als neun Mitarbeiter regelmäßig mit automatisierter Datenverarbeitung (Erhebung und Nutzung) zu tun haben, besteht die Pflicht. Ebenso besteht eine Verpflichtung, sobald mindestens 20 Personen beschäftigt werden, die regelmäßig mit nicht automatisierter Datenverarbeitung zu tun haben.
Detailgrad der Daten
Sollten personenbezogene Daten verarbeitet werden, die über Rasse, ethnische Herkunft, politische Meinung, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben einer Person informieren, besteht ebenfalls eine Verpflichtung. Nach BDSG besteht diese Pflicht unabhängig von der Anzahl der Mitarbeiter.
Geschäftsfeld
Sollten personenbezogene Daten geschäftsmäßig übermittelt, erhoben, verarbeitet oder genutzt werden, besteht ebenfalls unabhängig von der Anzahl der Beschäftigten eine Verpflichtung.
Welche Aufgaben hat der Datenschutzbeauftragte?
- 4g I 1 BDSG bestimmt, dass der Datenschutzbeauftragte auf die Einhaltung des BDSG und anderer Vorschriften zum Datenschutz hinwirkt. Hinwirken deshalb, weil der Datenschutzbeauftragte die Umsetzung der datenschutzrechtlichen Vorschriften nicht selbst vornehmen kann. Im Idealfall analysiert und kontrolliert er den Stand des Datenschutzniveaus im Unternehmen und macht der Geschäftsführung und den einzelnen Abteilungen Vorschläge zur Verbesserung oder Implementierung einer Datenschutzorganisation im Unternehmen. Der Datenschutzbeauftragte selbst hat also keine Entscheidungsgewalt, sondern ist organisatorisch gemäß § 4f Abs. 3 S. 1 BDSG der Geschäftsleitung unterstellt.
Der Schwerpunkt der Tätigkeit des Datenschutzbeauftragten liegt dann nämlich in der:
„Überwachung der Einhaltung dieser Verordnung [gemeint ist die DSGVO], anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen.“
Wie erfolgt die Bestellung zum Datenschutzbeauftragten?
Die Bestellung des Datenschutzbeauftragten muss gemäß § 4f Abs. 1 S. 1 BDSG schriftlich erfolgen. Bei einem Unternehmenskonzern mit verschiedenen Tochtergesellschaften ist erforderlich, dass für jedes einzelne Unternehmen ein Datenschutzbeauftragter bestellt wird, denn ein Konzernprivileg besteht im Datenschutzrecht nach den Regelungen des BDSG nicht, nach Art. 37 Abs. 2 DSGVO ist ein solches hingegen explizit vorgesehen.
Welche Voraussetzungen muss der Datenschutzbeauftragte mitbringen?
Der Datenschutzbeauftragte muss gewisse Voraussetzungen erfüllen. Insbesondere muss er die erforderliche Fachkunde und Zuverlässigkeit besitzen. Diese Begriffe werden im Gesetz nicht näher beschrieben, umfassen aber im Hinblick auf die Fachkunde rechtliche, organisatorische und technische Kenntnisse.
Das Erfordernis der Zuverlässigkeit beschreibt eine klare Trennung zwischen der verantwortlichen Stelle und dem Beauftragten. Denn wo die Trennung fehlt, können Interessenkonflikte entstehen, wenn sich etwa der Kontrolleur selbst kontrollieren muss. Daher kann grundsätzlich weder der IT-Leiter noch die Geschäftsführung selbst die Aufgaben des Datenschutzbeauftragten übernehmen. An diesen Anforderungen ändert sich auch nichts mit der Geltung der DSGVO.
Interner oder externer Datenschutzbeauftragter?
Grundsätzlich ist es gleichgültig, ob ein interner oder externer Datenschutzbeauftragter bestellt wird.
Die Bestellung eines externen Datenschutzbeauftragten bietet den Vorteil, dass dieser von außen objektiv auf das Unternehmen blicken und so unbefangen den Datenschutz einbringen kann. Zudem bringt er oftmals eine größere Fachkunde und mehr Erfahrung mit. Diese sind im Hinblick auf die steigenden Anforderungen an die Position des Datenschutzbeauftragten selbst, aber auch wegen der nach der DSGVO hinzukommenden erforderlichen Nachweis- und Rechenschaftspflichten für Unternehmen nicht zu unterschätzende Faktoren.